TCP/IP各层的安全性和提高各层安全性的方法

在最简单的情况下，IPSP用手工来配置密钥。然而，当IPSP大规模发展的时候，就需要在Internet上建立标准化的密钥管理协议。这个密钥管理协议按照IPSP安全条例的要求，指定管理密钥的方法。

因此，IPSEC工作组也负责进行Internet密钥管理协议(IKMP)，其他若干协议的标准化工作也已经提上日程。其中最重要的有：

IBM 提出的“标准密钥管理协议(MKMP)”　

SUN 提出的“Internet协议的简单密钥管理(SKIP)”

Phil Karn 提出的“Photuris密钥管理协议”

Hugo Krawczik 提出的“安全密钥交换机制(SKEME)”

NSA 提出的“Internet安全条例及密钥管理协议”

Hilarie Orman 提出的“OAKLEY密钥决定协议”

在这里需要再次强调指出，这些协议草案的相似点多于不同点。除MKMP外，它们都要求一个既存的、完全可操作的公钥基础设施(PKI)。MKMP没有这个要求，因为它假定双方已经共同知道一个主密钥(Master Key)，可能是事先手工发布的。SKIP要求Diffie-Hellman证书，其他协议则要求RSA证书。

1996年9月，IPSEC决定采用OAKLEY作为ISAKMP框架下强制推行的密钥管理手段，采用SKIP作为IPv4和IPv6实现时的优先选择。目前已经有一些厂商实现了合成的 ISAKMP/OAKLEY方案。Photuris以及类Photuris的协议的基本想法是对每一个会话密钥都采用Diffie-Hellman密钥交换机制，并随后采用签名交换来确认Diffie--Hellman参数，确保没有“中间人”进行攻击。这种组合最初是由Diffie、Ooschot和Wiener在一个“站对站(STS)”的协议中提出的。Photuris里面又添加了一种所谓的“cookie”交换，它可以提供“清障(anti-logging)”功能，即防范对服务攻击的否认。